Le règlement général sur la protection des données (RGPD) est arrivé. Entré en vigueur le 25 mai 2018, le GDPR vise à protéger les données et les droits à la vie privée des citoyens de l'Union européenne. Le GDPR aborde deux principaux domaines de préoccupation pour la plupart des organisations :
- Comment identifier toutes les données qui contiennent des informations personnelles identifiables (IPI) ?
- Comment savoir quelles données ont pu être exposées lors d'une violation ?
Le GDPR identifie en outre deux types d'IIP. Les IIP directes, c'est-à-dire les éléments de données typiquement identifiés comme des IIP, tels que le nom, l'adresse, etc., et les IIP indirectes, c'est-à-dire les éléments qui peuvent être utilisés pour identifier indirectement un utilisateur, tels que les noms de machine, l'adresse IP, etc.
De nombreuses organisations émettent des certificats numériques pour identifier les utilisateurs à des fins d'authentification et d'autorisation. Ces certificats contiennent des informations identifiées comme des IIP directes par le GDPR. Les organisations délivrent également souvent des certificats aux appareils pour l'accès aux réseaux ou la gestion à distance, et ces certificats contiennent des IIP indirectes qui lient généralement un utilisateur à un appareil.
Par conséquent, les certificats numériques délivrés aux utilisateurs et aux appareils sont soumis au GDPR et doivent donc faire l'objet du même soin, de la même attention et de la même réflexion que les autres informations stockées sur les utilisateurs et les clients.
Un certificat d'utilisateur numérique contient des informations personnelles et peut être utilisé à diverses fins, dont les plus sensibles sont les suivantes :
- la signature de documents juridiquement contraignants
- le cryptage des données confidentielles
- l'authentification aux systèmes sécurisés
Outre le besoin apparent de processus d'approvisionnement bien contrôlés pour les certificats d'utilisateur numériques, les organisations doivent être en mesure de les identifier clairement, d'en rendre compte et, sur demande, de les révoquer et de les supprimer.
La capacité de gérer de manière centralisée les certificats numériques d'utilisateur tout au long de leur cycle de vie est possible grâce à la plateforme de gestion des certificats numériques CMS et des opérations PKI . Dans cet exemple, nous travaillons avec des certificats émis pour un sous-ensemble spécifique d'utilisateurs dans un annuaire, dont les comptes sont dans une unité organisationnelle avec des attributs spécifiques au pays ; dans ce cas, la France. Avec une collection de certificats spécifique à l'UE définie dans la console CMS, les utilisateurs peuvent obtenir une vue instantanée des certificats dans leur environnement qui tombent sous le champ d'application du GDPR.
L'ajout de cette collection au tableau de bord du CMS dans la recherche de certificats définie (voir ci-dessus) permet aux utilisateurs de la console du CMS d'avoir une visibilité immédiate des certificats conformes au GDPR.
Comme indiqué ci-dessus, dans la vue de la collection "EU User Certificates", les certificats répondant aux critères de recherche spécifiés sont affichés avec des options de mise à jour, de révocation et de suppression, soit pour un seul certificat, soit pour plusieurs certificats, soit pour tous les certificats. Il est également possible de télécharger le jeu de données résultant pour l'analyser avec d'autres outils.
Ce blog n'a couvert qu'un exemple de gouvernance GDPR concernant votre infrastructure à clé publique d'entreprise (PKI). CSS peut travailler avec vous dans le cadre d'un modèle CMS Enterprise™ (plateforme de gestion des certificats numériques et de PKI sur site ou dans le nuage) ou d'un modèle CMS Sapphire™ (service géré d'entreprise PKI ) pour garantir que les abonnés aux certificats numériques bénéficient des protections que leur offre le GDPR, et pour aider à démontrer la conformité de votre entreprise.
